Permissions VI - 700 ou 711 : des permissions pour le répertoire personnel

================== =========================================================== =================================================================== CETTE PAGE - SOUS UNE FORME RÉVISÉE - A ÉTÉ TRANSFÉRÉE À L'ADRESSE SUIVANTE :

http://wiki.mandriva.com/fr/Permissions#Quelles_permissions_pour_mon_r.C3.A9pertoire_personnel_.3F

NOUS VOUS CONSEILLONS DE VOUS Y RENDRE… ==================================================================

Permissions VI - 700 ou 711 : des permissions pour le répertoire personnel

1 La parfaite sécurité : 700
2 Autoriser l'accès à quelques-uns de vos répertoires et à eux seuls : 711
3 Est-ce bien nécessaire, d'être si restrictif ??

Navigation :
Page précédente : Permissions V - Pour plus de souplesse… ou plus de contraintes : ACL et attributs étendus

Sous-section suivante : Les environnements graphiques

Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances

Cette page peut être lue et utilisée par elle-même. Elle est toutefois un complément de la page sur les permissions pour un répertoire et du complément sur les permissions pour un répertoire que vous pourriez avoir intérêt à lire aussi. Si vous êtes débutant en matière de permissions commencez par lire Permissions I et les pages suivantes.

Sous Mandriva 2006, les dossiers personnels des utilisateurs ont généralement des permissions 711, pourquoi ? Quelles en sont les conséquences ? Comment changer cela ? Vous le saurez en continuant votre lecture…

La parfaite sécurité : 700

Si vous êtes certain de ne jamais vouloir que les autres utilisateurs de votre système mettent le nez dans votre répertoire personnel pour y lire, modifier, créer ou supprimer des données, alors il vous faut donner à celui-ci des permissions de ce type

drwx------

dans ce cas seul le propriétaire du répertoire (vous-même) à des droits de lecture, écriture et exécution. Dans le codage numérique des permissions utilisé par chmod, cela veut dire que votre répertoire aura les permissions 700. Comment obtenir ce résultat ? Il suffira, sous root, de lancer la commande suivante :

chmod 700 /home/toto

(en supposant que '/home/toto' est votre répertoire personnel et que votre nom d'utilisateur est sans doute 'toto'...).

Note sur les niveaux de sécurité L'utilitaire Mandriva de sécurité drakperm de MSEC assigne par défaut aux répertoires personnels des utilisateurs les permissions 755 aux niveaux de sécurité 1 'Très faible' et 2 'Standard' et les permissions par défaut 711 au niveau 3 'Elevé'. Vous pourriez donc craindre que si vous avez un des niveaux 1 à 3, MSEC annule dans l'heure qui suit l'effet de votre commande chmod !!! En fait il n'en sera rien car drakperm n'effectue des changements que vers 'plus de sécurité' et il laissera '/home/toto' avec les permissions 700 si les permissions par défaut de votre niveau de sécurité pour ce répertoire sont différentes mais moins restrictives.

Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances

Autoriser l'accès à quelques-uns de vos répertoires et à eux seuls : 711

Vous pouvez aussi souhaiter donner des droits de lecture, ou de lecture-écriture aux autres utilisateurs pour un tout petit nombre de sous-répertoires convenablement choisis de votre répertoire personnel.

C'est ce que permettent les permissions suivantes accordées à votre répertoire personnel '/home/toto' :

drwx--x--x

autrement dit les permissions 711 du codage numérique. Ce sont ces permissions qu'attribue par défaut le niveau de sécurité 3 'Plus élevé' de MSEC. Si vous êtes au niveau 'Standard' (2), ou 'Très faible' (le niveau 1, qui à vrai dire n'est sans doute pas à conseiller de toute façon...), alors MSEC est plus laxiste : il attribue à votre répertoire les permissions 755. Que faire si c'est le cas ? On peut choisir de changer le niveau de sécurité et passer ainsi au niveau de sécurité 'Elevé' (3), mais cela entraîne toute sorte d'autres conséquences qu'on ne souhaite pas forcément. Vous pouvez aussi rester à votre niveau de sécurité actuel et changer les permissions par un chmod :

chmod 711 /home/toto

(en supposant que '/home/toto' est votre répertoire personnel et que votre nom d'utilisateur est sans doute 'toto'...).

Note sur les niveaux de sécurité L'utilitaire Mandriva de sécurité drakperm de MSEC assigne par défaut aux répertoires personnels des utilisateurs les permissions 755 aux niveaux de sécurité 1 'Très faible' et 2 'Standard'. Vous pourriez donc craindre que si vous avez un de ces deux niveaux, MSEC annule dans l'heure qui suit l'effet de votre commande chmod !!! En fait il n'en sera rien car drakperm n'effectue des changements que vers 'plus de sécurité' et il laissera '/home/toto' avec les permissions 711 si les permissions par défaut de votre niveau de sécurité pour ce répertoire sont différentes mais moins restrictives.

Attention, si vous êtes aux niveaux de sécurité 'Plus élevé' (4) ou 'Paranoïaque' (5), les permissions par défaut des répertoires personnels sont alors 700 et drakperm annulera dans l'heure qui suit (pas toujours immédiatement) l'effet de votre chmod pour rétablir les permissions par défaut plus restrictives… Pour éviter cela sans avoir à changer de niveau de sécurité vous pouvez alors créer une règle de permissions personnalisée.

Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances

Ce qu'interdit 711...

Ces permissions restent très restrictives et vous assurent un haut degré de sécurité pour peu que vous les gériez convenablement.

Tout d'abord elle ne permettent à personne d'autre que vous d'afficher la liste des fichiers et répertoires qui se trouvent à la racine de votre répertoire personnel (sont dits 'à la racine' de votre répertoire personnel les fichiers ou répertoires qui ne sont pas inclus eux-mêmes dans un sous-répertoire de votre répertoire personnel). Ainsi un essai de commande 'ls -l /home/toto' n'affichera rien d'autre qu'un message d'erreur s'il est lancé par un utilisateur autre que vous : on ne peut donc en aucun cas 'voir' le contenu de la racine de votre répertoire (mais vous, vous le pouvez, bien entendu).

Et si d'aventure quelqu'un avait appris ou deviné l'existence d'un fichier 'choin' qui y serait situé ('/home/toto/choin'), cet utilisateur ne pourrait en aucun cas lire, effacer ou modifier ce fichier. Toutes ses tentatives en ce sens échoueraient. Il ne pourrait pas non plus supprimer un sous-répertoire existant.

Il ne pourrait pas davantage créer un nouveau fichier à la racine (comme '/home/toto/notule') ni un nouveau sous-répertoire (comme '/home/toto/docs/').

Comme vous le voyez la 'racine' de votre répertoire personnel serait bien protégée...

Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances

Ce que permet 711...

Permettre l'accès à un sous-répertoire à la racine du répertoire personnel

Vous pouvez en revanche donner l'accès en lecture à tout le contenu d'un sous-répertoire '/home/toto/partage' en lui donnant les permissions de lecture et d'exécution

drwxr-xr-x

soit en codage numérique : 755.

Ce que vous pouvez faire par :

chmod 755 /home/toto/partage

Vous devrez bien entendu informer de cela les autre utilisateurs que vous estimez concernés car n'oubliez pas qu'ils ne peuvent toujours par 'voir' le contenu de la racine de votre répertoire personnel ! Ils pourront alors pénétrer dans ce répertoire directement par un

cd /home/toto/partage

et lire tout ce qui s'y trouve.

Notez que ceux des utilisateurs qui ne sont pas 'au courant' ne pourront guère accéder à ce répertoire, sauf à 'deviner' son existence ou à tomber dessus par erreur ou par jeu : si vous souhaitez évitez cela donnez au répertoire un nom d'une certain longueur et peu 'prévisible' : cela rendra improbable (mais non impossible, évidemment) un accès non souhaité par des utilisateurs du système non concernés...

Si vous souhaitez permettre un accès en lecture-écriture à 'partage', de telle sorte que les utilisateurs qui s'y rendront pourront s'y comporter comme dans un répertoire de travail 'normal' vous devrez lui donner les permissions 777 :

drwxrwxrwx

Cette page peut être utilisée isolément. Elle est toutefois un prolongement du paragraphe sur les permissions pour les répertoires et du complément sur les permissions pour un répertoire que vous pourriez avoir intérêt à regarder...

Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances

Permettre l'accès à un sous-répertoire plus profondément enfoui...

Peut-être cependant voudrez-vous ne pas créer un répertoire spécial 'partage' à la racine de '/home/toto' mais plutôt permettre l'accès à un répertoire existant enfoui dans une cascade de sous-répertoires, disons par exemple au répertoire 'passerelles' dont le chemin complet serait '/home/toto/docs/projet1/passerelles'. Dans ce cas vous procédez comme précédement en ce qui concerne 'passerelles' (vous lui assignez les permissions 755 ou 777 à votre guise). Mais vous devez aussi assigner les permissions 711 (drwx--x--x) à tous les sous-répertoires de votre répertoire personnel qui contiennent 'passerelles' (donc à '/home/toto/docs' et '/home/toto/projet1'). Et voilà...

Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances

Tout installer de façon simple et sans se tromper

Mis à part le petit nombre de sous-répertoires de votre dossier personnel que vous souhaitez partager et ceux qui les contiennenent, il est crucial que tous les autres aient des permissions minimales 700.

Vous pourriez faire observer que 700 n'est pas toujours nécessaire pour protéger un répertoire : par exemple si '/home/toto/truc' est lui-même à 700 alors même si '/home/toto/truc/machin' est à 777, il restera inaccessible. C'est vrai, mais si un jour vous souhaitez rendre accessible un répertoire '/home/toto/truc/chouette', vous donnerez alors les permissions 711 à '/home/toto/truc' et dans la foulée '/home/toto/truc/machin' deviendra accessible, sans même que vous vous en rendiez compte. C'est pour éviter cela qu'il est bon de mettre 'par défaut' tous les sous-répertoires à 700.

Si votre répertoire est fourni, cela peut être long, fastidieux et donner des occasions d'erreur que de vérifier cela et d'attribuer les bonnes propriétés à tous les sous-répertoires.

Une façon simple de faire pourrait être ceci :

1. Etablissez la liste d'un petit nombre de répertoires à partager.
2. Mettre tous les sous-répertoires à 700 en une seule commande :
```
find /home/toto -type d -exec chmod 700 {} \\\;
```
3. Attribuer via chmod, comme explicité plus haut, les permissions 755 ou 777 aux quelques répertoires que vous souhaitez partager (et qui figurent donc dans la liste établie en 1).
4. Pour ceux qui ne seraient pas à la racine attribuez les permissions 711 aux sous-répertoire de votre répertoire personnel qui les contiennent.
5. Si vous êtes aux niveau de sécurité MSEC 4 ou 5, n'oubliez pas de créer la règle de permissions personnalisée évoquée plus haut.

A l'avenir, il sera prudent de veiller que tous les nouveaux répertoires créés non partagés se voient attribuer une permission 700.

Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances

Est-ce bien nécessaire, d'être si restrictif ??

Vous pourriez bien sûr vous dire que des permissions aussi strictes que 700 ou 711 pour votre répertoire personnel, ce n'est pas vraiment utile. Lisez cependant les deux remarques qui suivent...

Supposons qu'un intrus pénètre votre système sous l'identité d'un autre utilisateur : si votre répertoire personnel a les permissions 700 il restera entièrement inaccessible à l'intrus et s'il a les permissions 711, avec une bonne gestion des permissions des sous-répertoires, seul le tout petit nombre de répertoires partagés sera accessible à l'intrus. Donner les permissions 700 ou 711 aux répertoires personnels accroît donc la sécurité générale du système face aux risques d'intrusion.

D'autre part, même si vous êtes le seul et unique utilisateur de votre machine, il se peut que vous souhaitiez tout de même créer une identité 'hote' que vous mettrez à la disposition d'un ami de passage ou de quelqu'un à qui vous voudrez donner la possibilité d'explorer les merveilles de Linux. Dans ce cas, il serait prudent que vous réfléchissiez tranquillement à l'avance à ce que vous souhaitez vraiment que ce sympathique ami puisse voir ou faire dans votre répertoire personnel… afin de gérer les permissions en conséquence. Vous pourrez ainsi prêter votre machine avec l'esprit entièrement libre...

Toutes les pages sur les permissions - Index de la section ~~Les Bases~~ - Index de la Base de Connaissances

Auteur ptyxs (février 2006)

Legal: This page is covered by the GNU Free Documentation License. Standard disclaimers of warranty apply. Copyright LSTB and Mandrakesoft.

KB - Permissions VI - 700 ou 711 : des permissions pour le répertoire personnel
Version 1.30 last modified by ptyxs on 29/08/2007 at 11:16

Knowledge Base

Lost account?
Join the community, be part of the Club: it's free!
Get the PWP Download Subscription!